配置远程访问服务×××、RADIUS服务的搭建(2)
----------Isuncle 原著
RADIUS服务器:
RADIUS代理:
网络策略服务器(NPS)
可以集中管理通过远程访问服务器进行的网络访问
可为网络访问设备提供集中的身份验证、授权和账户管理
在安装NPS角色服务后,可以部署以下技术
RADIUS服务器
RADIUS代理
NAP健康策略服务器
1.RADIUS服务器
将NPS用作RADIUS服务器时,可以将无线访问点和×××服务器等网络访问服务器配置为RADIUS客户端,RADIUS 服务器具有对用户账户信息进行访问的权限,并可以检查网络访问身份验证凭据。如果用户的凭据是真实的,并且连接尝试获得授权,则RADIUS 服务器将根据指定条件向用户授予访问权限,并将网络访问连接记录到记账日志中。使用 RADIUS 允许在一个中心位置(而不是在每台访问服务器上)收集并维护网络访问用户的身份验证、授权和记账数据。
2.RADIUS代理
作为RADIUS代理,NPS将身份验证和记账消息转发到其他RADIUS服务器。
使用NPS,各组织还可以在保留对用户身份验证、授权和记账活动进行控制的同时,将远程访问基础结构外包给服务提供商。
可以为以下解决方案创建不同的NPS配置。
A.无线访问。
B.组织拨号或虚拟专用网络(×××)远程访问。
C.Internet访问。
D.对业务合作伙伴Extranet 资源的经过身份验证的访问。
NPS认证过程:
×××客户端向×××服务器发送请求
×××服务器创建并转发请求至NPS服务器
验证用户访问凭证
尝试授权
向×××服务器发送访问接收/拒绝消息
连接成功/失败
(1)×××客户机通过Internet将连接请求发送到×××服务器。
(2)×××服务器将创建访问请求消息并将其发送到NPS RADIUS服务器。
(3)在NPS RADIUS服务器接收到访问请求消息后进行请求评估,以确定是否满足访问策略,如果满足策略要求,将用户访问凭证发送到域控制器,进行凭证验证。
(4)系统将使用用户账户的拨入属性和网络策略尝试进行授权。
(5)如果对连接尝试进行身份验证和授权通过,则NPS服务器会向×××服务器发送访问接收消息,如果授权未通过,则NPS服务器会向×××服务器发送访问拒绝消息。
(6)当×××客户端接收到来自×××服务器的访问成功消息后,就成功连接×××服务器,反之则连接失败。
多说无益,我们来继续上面的试验案例再搭建一台RADIUS服务器
案例环境
Benet公司现在×××服务器一台
管理员设置外地员工只能在工作时间进行远程访问
解决方法
安装RADIUS服务器
配置RADIUS服务器
配置网络策略服务器
配置RADIUS服务器:
安装RADIUS 服务器
添加网络策略和访问服务角色
-
添加网络策略服务器角色服务
配置RASIUS客户端
运行网络策略服务器
-
新建RADIUS客户端
-
配置RADIUS客户端属性(这里的ip地址要写内网的哦)
在“新建RADIUS客户端”窗口中,输入“友好名称”、“地址”、“共享机密”,之后单击“确定”按钮。
友好名称:是管理员录入的一个名称编号,也可以使用访问服务器的计算机名。
地址:访问服务器的IP地址。
共享机密:在RADIUS客户端、RADIUS服务器和RADIUS代理之间用作密码的文本字符串。在使用消息身份验证器属性时,共享机密还用作加密RADIUS消息的密钥。
配置网络策略服务器:
指定访问服务器连接请求的三种策略方式
连接请求策略
指定处理请求的服务器,对连接请求进行身份验证
网络策略
授权通过身份验证的用户是否可以连接到访问服务器
健康策略
远程访问客户端是否满足接入条件
配置连接请求策略
创建连接请求策略
-
指定连接请求名称和连接类型
-
添加指定条件
-
设置工作时间
-
指定连接请求转发功能
-
指定身份验证方法
-
完成连接请求策略建立
-
调整策略处理顺序
配置网络策略
新建网络策略
-
指定网络策略和连接类型
-
添加指定条件
-
指定访问权限
-
配置身份验证方法
-
完成新建网络策略
-
调整策略处理顺序
配置××× 服务器:
运行路由和远程访问控制台
配置×××服务器使用RADIUS身份验证
-
配置RADIUS服务器地址与共享机密
-
测试非工作时间接入
虽然asa防火墙提供了网络安全的保证,但是对于允许或拒绝访问某个单独的IP地址或服务器的某个端口时还是需要使用ACL,同时ACL还能够配置在路由器和交换机上以增加企业内网的安全。
好了,技术文档只供交流哦,不喜勿喷呐!!!
转载于:https://blog.51cto.com/baoer7758/1359636